Bezpieczeństwo informacji w systemach e-commerce. „Bezpieczeństwo handlu elektronicznego. Główne kierunki ochrony informacji

Wprowadzenie…………………………………………………………………..…3
1.Handel elektroniczny i historia jego rozwoju……………………….............. ..5
1.1. Historia handlu elektronicznego…………………………………………………...6
2. Bezpieczeństwo handlu elektronicznego…………………………………..8
2.1. Ryzyka i zagrożenia……………………………………………………….…… ...11
Zakończenie………………………………………………………………….17
Lista referencji……………………………………………………………... 20

Wstęp

Globalny Internet uczynił handel elektroniczny dostępnym dla firm każdej wielkości. O ile wcześniej organizacja elektronicznej wymiany danych wymagała znacznych inwestycji w infrastrukturę komunikacyjną i była możliwa tylko dla dużych przedsiębiorstw, to dzisiejsze wykorzystanie Internetu pozwala małym firmom dołączyć do grona „handlarzy elektronicznych”. Elektroniczna witryna sklepowa w sieci WWW daje każdej firmie możliwość przyciągnięcia klientów z całego świata. Taki biznes on-line tworzy nowy kanał sprzedaży – „wirtualny”, który nie wymaga prawie żadnych znaczących inwestycji. Jeśli informacje, usługi czy produkty (np. oprogramowanie) mogą być dostarczane przez Internet, wówczas cały proces sprzedaży (w tym płatność) może odbywać się online.
Definicja e-commerce obejmuje nie tylko systemy zorientowane na Internet, ale także „sklepy elektroniczne”, które korzystają z innych środowisk komunikacyjnych - BBS, VAN itp. Jednocześnie procedury sprzedażowe inicjowane informacją z WWW, ale wykorzystujące do wymiany danych faks, telefon itp., tylko częściowo można zaliczyć do handlu elektronicznego. Zauważamy również, że pomimo tego, że WWW jest technologiczną podstawą e-commerce, wiele systemów wykorzystuje także inne możliwości komunikacyjne. Tym samym prośby do sprzedawcy o wyjaśnienie parametrów produktu lub złożenie zamówienia można przesyłać także drogą e-mailową.
Obecnie dominującym środkiem płatności za zakupy w Internecie są karty kredytowe. Jednak na scenę wkraczają także nowe instrumenty płatnicze: karty inteligentne, gotówka cyfrowa, mikropłatności i czeki elektroniczne.
Handel elektroniczny to nie tylko transakcje on-line. Obszar objęty tą koncepcją musi obejmować także takie działania, jak prowadzenie badań marketingowych, identyfikacja szans i partnerów, utrzymywanie relacji z dostawcami i konsumentami, organizowanie obiegu dokumentów itp. Zatem e-commerce jest pojęciem złożonym i obejmuje elektroniczną wymianę danych jako jeden komponentów.

Handel elektroniczny i historia jego rozwoju

Handel elektroniczny to rodzaj działalności gospodarczej mającej na celu promowanie towarów i usług od producentów do konsumentów za pośrednictwem elektronicznych sieci komputerowych. Inaczej mówiąc, handel elektroniczny to marketing, nabywanie i sprzedaż towarów i usług za pośrednictwem sieci komputerowych, głównie Internetu. E-commerce daje nowe możliwości poprawy efektywności działań handlowych w ogóle.
W przeciwieństwie do handlu tradycyjnego, handel elektroniczny zapewnia firmom następujące możliwości:
A) Sprzedawaj swoje produkty przez Internet;
B) Rozwijanie i koordynowanie relacji z konsumentami i dostawcami;
B) Wymiana towarów i usług drogą elektroniczną;
D) Obniżyć cenę dostawy produktów cyfrowych i obsługi posprzedażnej klienta;
D) Szybko reaguj na zmiany rynkowe;
E) Zmniejsz koszty ogólne;
G) Poprawa obsługi klienta i wprowadzenie własnych usług dla klientów;
H) Poszerzyć krąg konsumentów;
I) Uwzględnić indywidualne potrzeby kupującego;
Handel elektroniczny umożliwia kupującym:
A) Kupuj towary w dowolnym miejscu i czasie;
B) Przeprowadź analizę porównawczą cen i wybierz najlepszą;
C) Uzyskaj jednoczesny dostęp do szerokiej gamy produktów;
D) Wybierz wygodne mechanizmy dokonywania zakupów;
D) Otrzymuj informacje i aktualności w zależności od Twoich preferencji.
1.1 Historia handlu elektronicznego

Pierwsze systemy e-commerce pojawiły się w latach 60-tych w USA. Wykorzystywano je w firmach transportowych do wymiany danych pomiędzy różnymi służbami podczas przygotowywania lotów i rezerwacji biletów.
Początkowo taki handel prowadzony był z wykorzystaniem sieci poza Internetem, stosując specjalne standardy elektronicznej wymiany danych pomiędzy organizacjami.
Pod koniec lat sześćdziesiątych w Stanach Zjednoczonych istniały cztery standardy branżowe dotyczące wymiany danych między różnymi firmami transportowymi. Aby połączyć te standardy, w 1968 roku utworzono specjalny Komitet ds. Harmonizacji Danych Transportowych. wyniki prac stały się podstawą nowego standardu EDI.
W latach 70. podobne wydarzenia miały miejsce w Anglii. W tym kraju głównym obszarem zastosowań EDI nie był transport, a handel. Wybrany tutaj zestaw specyfikacji Tradacoms został przyjęty przez Europejską Komisję Gospodarczą ONZ jako standard wymiany danych w międzynarodowych organizacjach handlowych.
W latach 80. zaczęto prace łączyć standardy europejskie i amerykańskie. W wyniku tych prac 42. sesja Grupy Roboczej ds. Ułatwień w Handlu Międzynarodowym we wrześniu 1996 r. przyjęła Zalecenie nr 25 „Stosowanie Normy Narodów Zjednoczonych dotyczącej elektronicznej wymiany danych w administracji, handlu i transporcie”.
Zatem. Na początku lat 90-tych pojawił się standard EDI-FACT, który został przyjęty przez ISO (ISO 9735).
Ale ostateczne połączenie standardów amerykańskich i europejskich nie nastąpiło. Pojawiła się nowa, bardziej obiecująca szansa dla elektronicznej wymiany danych – wymiana danych przez Internet.
Rozwój Internetu wraz z jego niskimi kosztami transmisji danych spowodował konieczność modernizacji systemów EDI. W rezultacie w połowie lat 90-tych opracowano kolejny standard - EDIFACT przez Internet (EDIINT), który opisuje sposób przesyłania transakcji EDI przy użyciu protokołów bezpiecznej poczty elektronicznej SMTP/S-MIME.
Na pojawienie się i wzrost popularności handlu elektronicznego składa się szereg przesłanek demograficznych i technologicznych, takich jak:
a) powszechny dostęp do technologii informatycznych, w szczególności komputerów i Internetu;
b) podniesienie poziomu wykształcenia społeczeństwa, a co za tym idzie, większa swoboda posługiwania się technologią;
c) postęp technologiczny i rewolucja cyfrowa umożliwiły interakcję wielu urządzeń cyfrowych, takich jak komputer, telefon komórkowy itp.;
d) globalizacja, otwarta gospodarka, konkurencja w skali globalnej;
e) dostępność handlu elektronicznego dla każdego, w dowolnym czasie i miejscu.
f) chęć zaoszczędzenia czasu;
g) wzrost asortymentu towarów i usług, wzrost popytu na towary i usługi specjalne.

Bezpieczeństwo handlu elektronicznego.

Jednym z głównych problemów współczesnego e-commerce pozostaje problem bezpieczeństwa, tj. minimalizowanie zagrożeń i ochrona informacji.
Przyczynami zakłócenia normalnego funkcjonowania firmy w Internecie mogą być: wirusy komputerowe, oszustwa prowadzące do strat finansowych; kradzież poufnych informacji; bezprawną ingerencję w pliki zawierające poufne informacje o konsumentach itp.
Stopień ochrony strony internetowej firmy elektronicznej zależy od poziomu poufności zawartych w niej informacji i konieczności ich przestrzegania. Jeśli więc na przykład na stronie internetowej wprowadzane są numery kart kredytowych, wówczas konieczne jest zapewnienie najwyższego stopnia ochrony serwera WWW.
Zadania utrzymania bezpieczeństwa w handlu elektronicznym sprowadzają się do uwierzytelniania użytkowników, zachowania poufności i integralności informacji: uwierzytelnianie – sprawdzenie autentyczności użytkownika; poufność – zapewnienie zachowania prywatnych informacji przekazanych przez użytkownika; integralność informacji – brak zniekształceń w przesyłanych informacjach.
Hakerzy i wirusy mogą stanowić zagrożenie dla integralności informacji na serwerze internetowym.
Haker penetruje słabo chronione komputery i serwery i instaluje specjalne programy - niewidoczne, dość trudne do wykrycia. Zwykle taki niewidoczny program nie szkodzi witrynie, ale powoduje duże przeciążenie sieci. Haker określa cel swojego ataku i aktywuje preinstalowany program, wysyłając polecenie przez Internet do kilku komputerów. Rozpoczyna się atak, który przeciąża sieć przedsiębiorstwa komercyjnego.
Innym poważnym rodzajem naruszenia bezpieczeństwa komputerów i serwerów w Internecie są wirusy. Wirusy naruszają integralność systemu i wprowadzają w błąd środki bezpieczeństwa informacji. Najlepszym sposobem ochrony przed wirusami jest instalacja i okresowa aktualizacja programów antywirusowych, a także korzystanie z zapór sieciowych. Zapora sieciowa to filtr instalowany pomiędzy siecią firmową a Internetem, którego zadaniem jest ochrona informacji i plików przed nieautoryzowanym dostępem oraz umożliwienie dostępu jedynie osobom upoważnionym. W ten sposób zapora sieciowa zapobiega przedostawaniu się wirusów komputerowych i hakerów do sieci firmowej i chroni ją przed wpływami zewnętrznymi po podłączeniu do Internetu.
Przy wdrażaniu handlu elektronicznego jedną z najważniejszych kwestii jest poufność informacji. Informacje przekazywane firmie przez użytkownika muszą być niezawodnie chronione. Jednym ze sposobów zapewnienia bezpiecznej i poufnej transmisji danych w sieciach komputerowych jest kryptografia, czyli tzw. szyfrowanie lub kodowanie danych w taki sposób, aby mogły je odczytać tylko strony biorące udział w danej transakcji.
Podczas szyfrowania nadawca wiadomości konwertuje tekst na zestaw znaków, których nie można odczytać bez użycia specjalnego klucza znanego odbiorcy. Kluczem do szyfru jest ciąg znaków przechowywany na dysku twardym lub dyskietce komputera. Stopień bezpieczeństwa informacji zależy od algorytmu szyfrowania i długości klucza mierzonej w bitach.
Istnieją dwa rodzaje algorytmów szyfrowania:

symetryczny, w którym ten sam, znany obu stronom klucz służy zarówno do szyfrowania, jak i deszyfrowania informacji;
asymetryczny, w którym używane są dwa klucze, jeden do szyfrowania, a drugi do deszyfrowania. Jeden z tych kluczy jest prywatny (tajny), drugi jest otwarty (publiczny).

Jedną z najbardziej znanych i obiecujących metod uwierzytelniania nadawcy wiadomości jest elektroniczny podpis cyfrowy (EDS) – elektroniczny odpowiednik podpisu odręcznego. Pierwszy podpis cyfrowy został zaproponowany w 1976 roku przez Whitfielda Diffiego z Uniwersytetu Stanforda. Ustawa federalna Federacji Rosyjskiej „O elektronicznym podpisie cyfrowym” stanowi, że elektroniczny podpis cyfrowy jest wymogiem dokumentu elektronicznego mającego na celu ochronę tego dokumentu przed fałszerstwem, uzyskanym w wyniku kryptograficznej transformacji informacji przy użyciu klucza prywatnego elektronicznego podpis cyfrowy i pozwalający na identyfikację właściciela certyfikatu klucza podpisu, a także stwierdzenie braku zniekształceń informacji w dokumencie elektronicznym.
Proces stosowania elektronicznego podpisu cyfrowego wygląda następująco:
1. nadawca tworzy wiadomość i szyfruje ją swoim kluczem prywatnym, który jest jednocześnie elektronicznym podpisem cyfrowym nadawcy. W tym przypadku szyfrowany jest zarówno sam tekst komunikatu, jak i podpis cyfrowy dołączony na końcu dokumentu.
2. nadawca przesyła zaszyfrowany list i swój klucz publiczny kanałami komunikacyjnymi do odbiorcy;
3. Odbiorca odszyfrowuje wiadomość przy użyciu klucza publicznego nadawcy.
4. Wraz z podpisem cyfrowym zwykle używana jest jedna z istniejących funkcji Hash. Funkcja HASH podczas przetwarzania komunikatu generuje ciąg znaków, zwany podsumowaniem komunikatu. Nadawca tworzy podsumowanie wiadomości, szyfruje ją i przekazuje dalej odbiorcy. Odbiorca przetwarza wiadomość za pomocą tej samej funkcji HASH i również otrzymuje podsumowanie wiadomości. Jeśli podsumowania obu wiadomości są zgodne, oznacza to, że wiadomość została odebrana bez uszkodzeń.
5. Certyfikaty cyfrowe służą do potwierdzenia własności klucza publicznego konkretnej osoby lub przedsiębiorstwa handlowego. Certyfikat cyfrowy to dokument wydawany przez urząd certyfikacji w celu potwierdzenia tożsamości konkretnej osoby lub przedsiębiorstwa poprzez weryfikację jej nazwy i klucza publicznego. Aby uzyskać certyfikat cyfrowy, należy skontaktować się z centrum certyfikacji i podać niezbędne informacje. Każdy urząd certyfikacji ustala własne ceny i z reguły wydaje certyfikat cyfrowy na rok z możliwością przedłużenia po opłaceniu na kolejny rok.
Aby rozwiązać problemy związane z bezpieczeństwem, firmy zajmujące się handlem elektronicznym korzystają z technologii SSL i SET.
Protokół SSL jest głównym protokołem używanym do ochrony danych przesyłanych przez Internet. Protokół ten opiera się na kombinacji algorytmów szyfrowania asymetrycznego i symetrycznego. Zapewnia trzy główne funkcje: uwierzytelnianie serwera, uwierzytelnianie klienta i szyfrowane połączenie SSL.
Protokół SET to protokół używany do transakcji pomiędzy bankami komercyjnymi a klientami kart kredytowych.

Ryzyka i zagrożenia

Każdy biznes wiąże się z ryzykiem wynikającym z konkurencji, kradzieży, niestabilności preferencji publicznych, klęsk żywiołowych itp. Ryzyka związane z handlem elektronicznym mają jednak swoją specyfikę i źródła, do których należą:
Włamywacze.
Niemożność przyciągnięcia towarzyszy.
Awarie sprzętu.
Awarie zasilania, linii komunikacyjnych lub sieci.
Uzależnienie od usług dostawczych.
Intensywna konkurencja.
Błędy oprogramowania.
Zmiany w polityce i podatkach.
Ograniczona pojemność systemu.

Włamywacze
Najpopularniejszym zagrożeniem dla handlu elektronicznego są hakerzy komputerowi. Każde przedsiębiorstwo narażone jest na ryzyko ataku przestępców, a duże przedsiębiorstwa e-commerce przyciągają uwagę hakerów komputerowych o różnym poziomie umiejętności.
Powody tej uwagi są różne. W niektórych przypadkach jest to po prostu „czysty interes sportowy”, w innych chęć wyrządzenia krzywdy, kradzieży pieniędzy lub zakupu produktu lub usługi za darmo.
Bezpieczeństwo witryny zapewnia kombinacja następujących środków:
Utwórz kopię zapasową ważnych informacji.
Polityka kadrowa pozwalająca przyciągać do pracy wyłącznie osoby sumienne i kształtująca sumienność personelu. Najbardziej niebezpieczne próby włamań mają miejsce wewnątrz firmy.
Korzystanie z oprogramowania posiadającego możliwości ochrony danych i jego terminowa aktualizacja.
Szkolenie personelu w zakresie identyfikacji celów i rozpoznawania słabych punktów systemu.
Audyt i rejestrowanie w celu wykrycia udanych i nieudanych prób włamań.
Zazwyczaj włamanie kończy się sukcesem dzięki łatwym do odgadnięcia hasłom, częstym błędom konfiguracyjnym i braku terminowej aktualizacji wersji oprogramowania. Aby uchronić się przed niezbyt wyrafinowanym włamywaczem, wystarczy zastosować stosunkowo proste środki. W ostateczności zawsze należy mieć kopię zapasową krytycznych danych.

Niemożność przyciągnięcia towarzyszy
Chociaż największym problemem są ataki hakerów, większość niepowodzeń w handlu elektronicznym nadal wynika z tradycyjnych czynników ekonomicznych. Tworzenie i promowanie dużej witryny e-commerce wymaga dużo pieniędzy. Firmy preferują inwestycje krótkoterminowe, oferując natychmiastowy wzrost liczby klientów i przychodów po ugruntowaniu się marki na rynku.
Upadek e-commerce doprowadził do upadku wielu firm, które się w nim specjalizowały.

Awarie sprzętu
Jest rzeczą oczywistą, że awaria istotnej części jednego z komputerów firmy, której działalność koncentruje się w Internecie, może wyrządzić jej znaczne szkody.
Ochronę przed przestojami obiektów, które działają pod dużym obciążeniem lub pełnią ważne funkcje, zapewnia duplikacja, dzięki czemu awaria któregokolwiek komponentu nie wpływa na funkcjonalność całego systemu. Jednak i tutaj należy ocenić straty wynikające z ewentualnych przestojów w porównaniu z kosztami zakupu dodatkowego wyposażenia.
Wiele komputerów z Apache, PHP i MySQL można stosunkowo łatwo skonfigurować. Ponadto silnik replikacji MySQL umożliwia ogólną synchronizację informacji w bazach danych. Jednak duża liczba komputerów to także wysokie koszty utrzymania sprzętu, infrastruktury sieciowej i hostingu.
Awarie zasilania, linii komunikacyjnych, sieci i usług dostawczych
Uzależnienie od Internetu oznacza zależność od wielu wzajemnie połączonych dostawców usług, więc jeśli połączenie z resztą świata nagle się zerwie, nie pozostaje nic innego, jak poczekać, aż zostanie przywrócone. To samo dotyczy przerw w dostawie prądu i strajków lub innych przerw w dostawie prądu i strajków lub innych zakłóceń w pracy firmy kurierskiej.
Jeśli masz wystarczający budżet, możesz współpracować z kilkoma usługodawcami. Wiąże się to z dodatkowymi kosztami, ale zapewnia nieprzerwaną pracę w przypadku awarii jednego z nich. Ekstremalne przerwy w dostawie prądu można zabezpieczyć instalując zasilacze bezprzerwowe.

Intensywna konkurencja
Jeśli otworzysz kiosk na ulicy, ocena otoczenia konkurencyjnego nie jest szczególnie trudna – konkurentami będą wszyscy, którzy sprzedają ten sam produkt w zasięgu wzroku. W przypadku e-commerce sytuacja jest nieco bardziej skomplikowana.
W zależności od kosztów wysyłki, wahań kursów walut i różnic w kosztach pracy konkurenci mogą znajdować się w dowolnym miejscu. Internet jest środowiskiem wysoce konkurencyjnym i szybko rozwijającym się. W popularnych sektorach biznesowych niemal codziennie pojawiają się nowi konkurenci.
Ryzyko konkurencji jest trudne do oceny. Tutaj najwłaściwszą strategią jest wspieranie obecnego poziomu technologii.

Błędy oprogramowania
Kiedy firma zależy od oprogramowania, jest podatna na błędy w tym oprogramowaniu.

Prawdopodobieństwo wystąpienia krytycznych awarii można zminimalizować, instalując niezawodne oprogramowanie, testując po każdej wymianie wadliwego sprzętu i stosując formalne procedury testowania. Bardzo ważne jest, aby wszelkim innowacjom w systemie towarzyszyły dokładne testy.
Aby zmniejszyć szkody spowodowane awarią oprogramowania, należy niezwłocznie wykonać kopię zapasową wszystkich danych. Dokonując jakichkolwiek zmian należy zapisać poprzednie konfiguracje programu. Aby szybko wykryć możliwe awarie, wymagane jest stałe monitorowanie systemu.

Zmiany w polityce podatkowej
W wielu krajach działalność e-biznesu nie jest zdefiniowana lub jest niewystarczająco zdefiniowana przez prawo. Sytuacja ta nie może jednak trwać wiecznie, a rozwiązanie tej kwestii będzie prowadzić do szeregu problemów, które mogą doprowadzić do zamknięcia części przedsiębiorstw. Ponadto zawsze istnieje niebezpieczeństwo wyższych podatków.
Tych problemów nie da się uniknąć. W tej sytuacji jedynym rozsądnym postępowaniem byłoby uważne monitorowanie sytuacji i doprowadzenie działalności przedsiębiorstwa do zgodności z prawem. Należy również rozważyć możliwość lobbowania na rzecz własnych interesów.

Ograniczona pojemność systemu
Już na etapie projektowania systemu należy zdecydowanie rozważyć możliwość jego rozbudowy. Sukces jest nierozerwalnie powiązany z obciążeniami, dlatego system musi umożliwiać rozbudowę sprzętu.
Ograniczony wzrost wydajności można osiągnąć poprzez wymianę sprzętu, ale prędkość nawet najbardziej zaawansowanego komputera ma swoje granice, więc oprogramowanie musi zapewniać możliwość rozłożenia obciążenia na wiele systemów po osiągnięciu określonego limitu. Na przykład system zarządzania bazami danych musi być w stanie przetwarzać żądania z wielu komputerów jednocześnie.
Rozbudowa systemu nie jest bezbolesna, jednak terminowe planowanie na etapie rozwoju pozwala przewidzieć wiele problemów związanych ze wzrostem liczby klientów i zawczasu im zapobiec.

Wniosek
Choć połączenie z Internetem daje ogromne korzyści ze względu na dostęp do kolosalnej ilości informacji, jest również niebezpieczne dla witryn o niskim poziomie bezpieczeństwa. Internet boryka się z poważnymi problemami związanymi z bezpieczeństwem, które, jeśli zostaną zignorowane, mogą oznaczać katastrofę dla nieprzygotowanych witryn. Błędy w projekcie protokołu TCP/IP, złożoność administracji hostem, luki w programach i szereg innych czynników razem sprawiają, że niechronione witryny są podatne na działania atakujących.
Aby właściwie rozważyć konsekwencje bezpieczeństwa łączności internetowej, organizacje muszą odpowiedzieć na następujące pytania:
Czy hakerzy mogą zniszczyć systemy wewnętrzne?
Czy ważne informacje organizacji mogą zostać naruszone (zmodyfikowane lub odczytane) podczas przesyłania przez Internet?
Czy można ingerować w pracę organizacji?
To wszystko są ważne pytania. Istnieje wiele rozwiązań technicznych pozwalających stawić czoła poważnym problemom związanym z bezpieczeństwem Internetu. Jednak wszystkie mają swoją cenę. Wiele rozwiązań ogranicza funkcjonalność w celu zwiększenia bezpieczeństwa. Inne wymagają znacznych kompromisów w zakresie łatwości korzystania z Internetu. Jeszcze inne wymagają inwestycji znacznych zasobów – czasu pracy na wdrożenie i utrzymanie bezpieczeństwa oraz pieniędzy na zakup i utrzymanie sprzętu i programów.
Celem polityki bezpieczeństwa w Internecie jest podjęcie decyzji, w jaki sposób organizacja zamierza się chronić. Polisa zazwyczaj składa się z dwóch części – zasad ogólnych i szczegółowych zasad działania (które są odpowiednikami szczegółowej polisy opisanej poniżej). Ogólne zasady kierują podejściem do bezpieczeństwa w Internecie. Regulamin określa, co jest dozwolone, a co zakazane. Uzupełnieniem zasad mogą być szczegółowe procedury i różnorodne wytyczne.
Prawdą jest, że w literaturze poświęconej bezpieczeństwu Internetu pojawia się trzeci rodzaj polityki. To jest podejście techniczne. W tej publikacji podejście techniczne będzie rozumiane jako analiza pomagająca wdrożyć zasady i reguły polityki. Jest to na ogół zbyt techniczne i złożone, aby kierownictwo organizacji mogło je zrozumieć. Dlatego nie może być stosowany tak szeroko jak polityka. Jest ono jednak niezbędne przy opisywaniu możliwych rozwiązań, wskazywaniu kompromisów, które są niezbędnym elementem opisu polityki.
Aby polityka internetowa była skuteczna, decydenci muszą zrozumieć kompromisy, jakie będą musieli poczynić. Polityka ta nie powinna być również sprzeczna z innymi dokumentami regulującymi organizację. Niniejsza publikacja ma na celu dostarczenie specjalistom technicznym informacji, które będą musieli wyjaśnić decydentom internetowym. Zawiera wstępny projekt polisy, na podstawie którego można następnie podjąć konkretne decyzje techniczne.
Internet jest ważnym zasobem, który zmienił sposób działania wielu osób i organizacji. Internet boryka się jednak z poważnymi i powszechnymi problemami związanymi z bezpieczeństwem. Wiele organizacji zostało zaatakowanych lub sondowanych przez napastników, co spowodowało, że poniosły one ciężkie straty finansowe i utraciły prestiż. W niektórych przypadkach organizacje były zmuszone do tymczasowego odłączenia się od Internetu i wydały znaczne kwoty na rozwiązywanie problemów z hostem i konfiguracją sieci. Witryny, które nie są świadome tych problemów lub je ignorują, narażają się na ataki online ze strony złośliwych podmiotów. Nawet te witryny, które wdrożyły środki bezpieczeństwa, są narażone na te same zagrożenia ze względu na pojawienie się nowych luk w programach sieciowych i uporczywość niektórych atakujących.
Podstawowym problemem jest to, że Internet nie został zaprojektowany jako sieć bezpieczna. Niektóre z problemów występujących w aktualnej wersji protokołu TCP/IP to:
Łatwość przechwytywania danych i fałszowania adresów maszyn w sieci – większość ruchu internetowego to dane niezaszyfrowane. Wiadomości e-mail, hasła i pliki można przechwycić za pomocą łatwo dostępnych programów.
Podatność narzędzi TCP/IP — wiele narzędzi TCP/IP nie zostało zaprojektowanych z myślą o bezpieczeństwie i mogą zostać złamane przez wprawnych atakujących; narzędzia używane do testowania są szczególnie podatne na ataki.
Brak polityki – wiele witryn jest nieświadomie skonfigurowanych w taki sposób, aby zapewniały szeroki dostęp do siebie z Internetu, nie biorąc pod uwagę możliwości nadużycia tego dostępu; Wiele witryn udostępnia więcej usług TCP/IP, niż jest im potrzebne do działania, i nie podejmuje żadnych prób ograniczania dostępu do informacji o swoich komputerach, które mogłyby pomóc atakującym.
Trudne do skonfigurowania — kontrola dostępu do hosta jest złożona; Często trudno jest poprawnie skonfigurować i zweryfikować efektywność instalacji. Narzędzia, które przez pomyłkę zostały nieprawidłowo skonfigurowane, mogą skutkować nieautoryzowanym dostępem.

Wykaz używanej literatury
1. Materiały z serwera informatycznego - http://www. citforum.ru
2. Czym jest handel elektroniczny? V. Zavaleev, Centrum Technologii Informacyjnych. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovich A.A., Carew V.V. Podręczniki dla uczelni: Handel elektroniczny 2002, 320 stron.

| Do listy publikacji

Zapewnienie bezpieczeństwa informacji przedsiębiorstw handlowych, sieci detalicznych i ich infrastruktury

Obecne tendencje w rozwoju handlu w Rosji prowadzą do konsolidacji przedsiębiorstw poprzez zwiększanie liczby przedsiębiorstw w ich składzie, konsolidację aktywów różnych operatorów, przeprowadzanie fuzji i przejęć oraz tworzenie sieciowych centrów dystrybucyjnych. W efekcie rosną wymagania wobec technologii informatycznych i ich znaczenia w organizacji handlu. Przetwarzanie przepływu informacji w każdej firmie wymaga dużej szybkości i absolutnej dokładności.

Ryc.1. Główne przepływy informacji krążą w systemie zarządzania przedsiębiorstwa sieciowego

Zarządzanie nowoczesnym sklepem, przedsiębiorstwem handlu hurtowego i siecią dystrybucyjną wiąże się z wykorzystaniem zautomatyzowanych systemów zintegrowanych w handlu, magazynie i księgowości. Dziś menedżerowie podejmują decyzje zarządcze w oparciu o dane pozyskiwane z systemów informatycznych. Tym samym, niezależnie od struktury przedsiębiorstwa, księgowość kontraktów, przepływy zapasów, gotówka i księgowość muszą odbywać się w jednej przestrzeni informacyjnej.

W celu zautomatyzowania zarządzania procesem handlowym w przedsiębiorstwie tworzony jest system informatyczny, który może obejmować:

- wewnętrzny system księgowo-sprawozdawczy (zawiera dane o wielkości, strukturze i szybkości produkcji i obrotu towarowego, kosztach i stratach przedsiębiorstwa, dochodzie brutto, zysku netto, rentowności itp.);
- system informacji marketingowej (pozwala na śledzenie aktualnego stanu, trendów i perspektyw rozwoju rynku). Ten system informacyjny można również zdefiniować jako system wywiadowczy, ponieważ zapewnia gromadzenie, przetwarzanie i analizę danych o działaniach konkurentów.

Dane do systemu informatycznego pochodzą od pracowników firmy oraz z systemów biurowych dystrybutorów. W przyszłości będą wykorzystywane do operacyjnego zarządzania przedsiębiorstwem, kontroli i analizy działalności firmy jako całości, biur regionalnych i dystrybutorów. Odbiorcami danych sieci informacyjnej są menedżerowie i kadra kierownicza firmy oraz dystrybutorzy. Na rysunkach 1 i 2 przedstawiono główne przepływy informacji krążące w systemie zarządzania przedsiębiorstwa handlowego (sieci handlowej), wskazując ich główne źródła i odbiorców.

Aby podejmować strategiczne decyzje zarządcze, konieczne jest, aby kierownik przedsiębiorstwa, dyrektor finansowy, główny księgowy i menedżerowie wyższego szczebla przedstawiali pełny obraz stanu przedsiębiorstwa i kierunków jego rozwoju (rys. 1.).

Na stanowiskach pracy w dziale księgowości, na sali sprzedaży, w magazynie pracownicy zajmują się jedynie pojedynczymi fragmentami ogólnego przepływu informacji. Ich zadania i funkcje z reguły sprowadzają się do przetwarzania i rejestrowania przyjęcia i zużycia towaru, wystawiania faktur, pracy na kasie fiskalnej itp. (ryc. 2.).

Biorąc pod uwagę ryzyko przedsiębiorstw handlowych oraz wrażliwość systemów informatycznych, nieodpowiedzialne wydaje się podejście, w którym firma reaguje na zdarzenia po fakcie, tj. po tym, jak się wydarzyły. Wynika z tego, że firma musi stworzyć system bezpieczeństwa informacji. Jest to jeden z głównych elementów systemu sterowania.

Zatrzymanie działania systemu informatycznego może spowodować nieodwracalne skutki dla przedsiębiorstwa. Zatem według firmy ubezpieczeniowej Gerling w przypadku całkowitego zatrzymania systemu informatycznego firmy handlowe mogą istnieć tylko 2,5 dnia, a dla przedsiębiorstw produkcyjnych bez ciągłego cyklu produkcyjnego liczba ta wynosi 5 dni.

Dane wyjściowe do stworzenia skutecznego systemu bezpieczeństwa informacji powinny stanowić jasne wyobrażenie o jego celach i strukturze, rodzajach zagrożeń i ich źródłach oraz możliwych środkach zaradczych.

Źródła zagrożeń mogą być zewnętrzne i wewnętrzne.

Ryc.2. System wymiany danych dla pracowników różnych działów przedsiębiorstwa detalicznego lub sieci handlowej

Zagrożenia zewnętrzne pochodzą najczęściej od konkurentów, grup przestępczych i skorumpowanych urzędników organów prawnych i administracyjnych. Działania zagrożeń zewnętrznych mogą być ukierunkowane na pasywne nośniki danych, usunięcie informacji w procesie wymiany, zniszczenie informacji lub uszkodzenie nośnika jej przechowywania. Groźby mogą być kierowane pod adresem personelu firmy i wyrażać się w formie przekupstwa, gróźb, szantażu, wydobywania informacji w celu uzyskania informacji stanowiących tajemnicę przedsiębiorstwa, odciągania czołowych specjalistów itp.

Groźby wewnętrzne stanowią największe zagrożenie. Mogą pochodzić od niekompetentnych menedżerów, pozbawionego skrupułów i niewykwalifikowanego personelu, defraudantów i oszustów oraz przestarzałych środków produkcji. Poszczególni pracownicy o wysokim poczuciu własnej wartości, ze względu na niezadowolenie ze swoich ambicji (poziom wynagrodzenia, relacje z kierownictwem, współpracownikami itp.), mogą proaktywnie przekazywać informacje handlowe konkurencji, próbować niszczyć ważne informacje lub media pasywne, np. na przykład wprowadzić wirusa komputerowego.

Uszkodzenie zasobów informacyjnych może być spowodowane przez:

wdrażanie nieuprawnionego dostępu i usuwanie informacji poufnych;
przekupywanie pracowników w celu uzyskania dostępu do informacji poufnych lub systemu informatycznego;
poprzez przechwytywanie informacji krążących w urządzeniach i systemach łączności oraz komputerowych, przy wykorzystaniu technicznych środków rozpoznania i gromadzenia informacji;
poprzez podsłuchiwanie poufnych rozmów odbywających się w pomieszczeniach biurowych, pojazdach służbowych i osobistych, w mieszkaniach i daczach;
poprzez procesy negocjacyjne, stosując nieostrożne obchodzenie się z informacjami;

Głównymi źródłami informacji są: ludzie, dokumenty, publikacje, nośniki techniczne, środki techniczne, produkty i odpady.

Główne sposoby uzyskania nieautoryzowanych informacji to:

- ujawnienie informacji poufnych;
- nieuprawniony dostęp do zasobów informacyjnych;
- wyciek informacji poufnych z winy pracowników firmy.

Istotność problemu podejmowania działań zapewniających bezpieczeństwo informacji można zilustrować następującymi przykładami:

1. Służba bezpieczeństwa operatora federalnego wykrywa co miesiąc od dwóch do sześciu incydentów związanych z naruszeniami bezpieczeństwa informacji.
2. W hipermarkecie młoda dziewczyna została „oświecona” na temat niedociągnięć programu parowania terminali kasowych w sieci lokalnej. W wyniku oszustwa dama „zarobiła” 900 000 rubli w ciągu trzech miesięcy.
3. Młody kasjer dokonał zmian w programie gotówkowym iw ciągu miesiąca spowodował szkody w przedsiębiorstwie na kwotę około 200 000 rubli. Administrator systemu odkrył fakt nieuprawnionego dostępu dopiero w trakcie dochodzenia dwa miesiące po zwolnieniu kasjera.

Dlatego liderzy biznesu muszą zrozumieć znaczenie bezpieczeństwa informacji oraz nauczyć się przewidywać przyszłe trendy i zarządzać nimi. Skuteczne działanie systemów bezpieczeństwa powinno być priorytetem dla całego przedsiębiorstwa.

Główne kierunki ochrony informacji:

- ochroną prawną objęte są: ustawodawstwo Federacji Rosyjskiej, własne dokumenty regulacyjne, w tym: przepisy dotyczące zachowania informacji poufnych, wykaz informacji stanowiących tajemnicę przedsiębiorstwa, instrukcje dotyczące trybu dostępu pracowników do informacji poufnych, regulaminy pracy biurowej i obiegu dokumentów, obowiązek zachowania poufności informacji przez pracownika, przypomnienie pracownikowi o zachowaniu tajemnicy przedsiębiorstwa itp.;
- ochrona organizacyjna obejmuje środki reżimowo-administracyjne i organizacyjne. Należą do nich: organizacja służby bezpieczeństwa, organizacja kontroli wewnętrznej i dostępu, organizacja pracy z pracownikami w zakresie nieujawniania informacji stanowiących tajemnicę handlową i służbową, organizacja pracy z dokumentami, organizacja pracy nad analizą zagrożeń zewnętrznych i wewnętrznych itp.
- inżynieria i ochrona techniczna – polega na stosowaniu różnych narzędzi technicznych, elektronicznych i programowych mających na celu ochronę informacji.

Wdrożenie programu bezpieczeństwa informacji powinno odbywać się w oparciu o zintegrowane wykorzystanie systemów i narzędzi bezpieczeństwa w oparciu o założenie, że nie da się zapewnić wymaganego poziomu bezpieczeństwa przy pomocy tylko jednego odrębnego narzędzia lub środka, bądź też prostej kombinacji z nich. Niezbędna jest ich systemowa koordynacja. W takim przypadku wdrożenie dowolnego zagrożenia może wpłynąć na chroniony obiekt tylko wtedy, gdy zostaną pokonane wszystkie poziomy ochrony.

Bezpieczeństwo każdego systemu e-commerce jako całości polega na ochronie jego danych przed różnego rodzaju ingerencjami. Wszystkie te interwencje można podzielić na kilka kategorii:

· kradzież danych (np. kradzież numerów kart kredytowych z bazy danych);

· zakłócenia (np. przeciążenie danych witryny nieprzeznaczonej na tak dużą ilość informacji);

· zniekształcanie danych (na przykład zmiana kwot w plikach płatności i faktur lub tworzenie nieistniejących certyfikatów lub witryn do pompowania informacji prowadzących do konkretnej witryny);

· zniszczenie danych (np. podczas transmisji z serwisu lub do serwisu od użytkownika);

· odmowa podjętych działań (np. z faktu złożenia zamówienia lub odbioru towaru);

· niezamierzone niewłaściwe użycie obiektów witryny przez użytkownika działającego w dobrej wierze;

· nieuprawniony dostęp do informacji:

· nieuprawnione kopiowanie, aktualizacja lub inne wykorzystanie danych;

· nieautoryzowane transakcje;

· nieuprawnione przeglądanie lub przesyłanie danych (na przykład wyświetlanie prawdziwych imion i nazwisk osób odwiedzających zamiast pseudonimów na czacie lub forum).

Jednocześnie nie można nie wziąć pod uwagę, że w kwestiach bezpieczeństwa w tym obszarze pojawia się szereg obiektywnych problemów o charakterze prawnym – technologie rozwijają się znacznie szybciej niż ramy prawne, trudno jest złapać napastnika czynu przestępczego, a dowody i ślady przestępstw można łatwo zniszczyć bez śladu. Wszystko to powoduje, że firmy muszą dokładnie opracować politykę ochrony swojego elektronicznego biznesu. Pełne i absolutne bezpieczeństwo jest nieosiągalne, ponieważ systemy e-biznesu zbudowane są w oparciu o różnorodne gotowe i niestandardowe aplikacje pochodzące od różnych dostawców oraz znaczną liczbę usług zewnętrznych świadczonych przez usługodawców lub partnerów biznesowych. Znaczna część tych komponentów i usług jest zwykle niejasna dla specjalistów IT firmy klienta, ponadto wiele z nich jest często modyfikowanych i ulepszanych przez ich twórców; Niemożliwe jest dokładne sprawdzenie tego wszystkiego pod kątem potencjalnych wad bezpieczeństwa, a jeszcze trudniej jest je wszystkie wyeliminować. A nawet gdyby to było możliwe, nie można wykluczyć tzw. czynnika ludzkiego, gdyż wszystkie systemy są tworzone, zmieniane i zarządzane przez ludzi, a według badań Instytutu Bezpieczeństwa Komputerowego 81% respondentów stwierdziło, że największą troską firmy jest zagrożenie wewnętrzne – zamierzone lub niezamierzone działania własnych pracowników.

Problematyka ochrony przed zagrożeniami wewnętrznymi ma dwa aspekty: techniczny i organizacyjny. Aspekt techniczny to chęć wyeliminowania jakiejkolwiek możliwości nieuprawnionego dostępu do informacji. W tym celu stosuje się takie dobrze znane środki, jak:

utrzymywanie haseł i ich regularna zmiana; zapewnienie minimalnych uprawnień niezbędnych do administrowania systemem;

Dostępność standardowych procedur terminowej zmiany grupy dostępu podczas zmian personalnych lub natychmiastowego zniszczenia dostępu w przypadku zwolnienia pracownika.

Aspekt organizacyjny polega na opracowaniu racjonalnej polityki bezpieczeństwa wewnętrznego, która przeradza się w rutynowe działania, takie jak rzadko stosowane przez firmy metody ochrony i zapobiegania atakom hakerskim, takie jak:

· wprowadzenie ogólnej kultury bezpieczeństwa w firmie;

· testowanie oprogramowania pod kątem włamań;

· śledzenie każdej próby włamania (bez względu na to, jak skuteczna) i dokładne jej badanie;

· coroczne szkolenia personelu dotyczące zagadnień bezpieczeństwa i cyberprzestępczości, obejmujące informacje o konkretnych oznakach ataków hakerskich, w celu maksymalizacji liczby pracowników posiadających umiejętność wykrywania tego typu działań;

· wprowadzenie jasnych procedur postępowania w przypadku niezamierzonej zmiany lub zniszczenia informacji.

Aby chronić się przed włamaniami z zewnątrz, obecnie istnieje wiele systemów, które są zasadniczo różnymi rodzajami filtrów, które pomagają identyfikować próby włamań na wczesnych etapach i, jeśli to możliwe, zapobiegać przedostawaniu się atakującego do systemu przez sieci zewnętrzne.

· routery – urządzenia zarządzające ruchem sieciowym, zlokalizowane pomiędzy sieciami drugiego rzędu i zarządzające ruchem przychodzącym i wychodzącym segmentów sieci do nich podłączonych;

· zapory ogniowe – sposób izolowania sieci prywatnych od sieci publicznych za pomocą oprogramowania monitorującego i powstrzymującego ataki zewnętrzne na witrynę, stosując pewną kontrolę nad rodzajami żądań;

bramy aplikacji to środki, za pomocą których administrator sieci wdraża politykę bezpieczeństwa, która kieruje routerami wykonującymi filtrowanie pakietów;

· Systemy wykrywania włamań (IDS) – systemy wykrywające celowe ataki i niezamierzone niewłaściwe wykorzystanie zasobów systemu przez użytkowników;

· narzędzia oceny bezpieczeństwa (specjalne skanery itp.) – programy regularnie skanujące sieć w poszukiwaniu problemów i testujące skuteczność wdrożonej polityki bezpieczeństwa.

Ogólnie rzecz biorąc, pierwszą rzeczą, jaką powinna zrobić firma, jest ustalenie, co powinno być chronione i przed kim. Głównymi graczami na tym polu są akcjonariusze spółki, konsumenci, pracownicy i partnerzy biznesowi i dla każdego z nich konieczne jest opracowanie własnego systemu ochrony. Wszystkie wymagania bezpieczeństwa muszą być udokumentowane, aby służyć jako wytyczne dla wszystkich wdrożeń aplikacji e-commerce i ich środków bezpieczeństwa w różnych liniach biznesowych firmy. Dodatkowo pozwoli to na utworzenie osobnego budżetu na obsługę problemów bezpieczeństwa w firmie i optymalizację kosztów na te potrzeby, eliminując powielanie wszelkich zagadnień bezpieczeństwa przy opracowywaniu każdego indywidualnego projektu biznesowego.

Niestety dzisiejsza praktyka jest taka, że ​​politykę bezpieczeństwa pozostawia się kierownictwu działu IT, którego pracownicy uważają, że kwestie technologiczne są ważniejsze niż jakieś „papierowe” instrukcje, a ponadto nie są specjalistami w określonych obszarach biznesu które również wymagają jasnych procedur ochrony wewnątrz firmy.

Dodatkowo przy parowaniu różnych programów mogą pojawić się specyficzne problemy, o których nie wiedzą producenci każdego ze integrowanych produktów. Badania takich interakcji powinny poprzedzać wszelkie decyzje technologiczne i budżetowe. A jak dotąd zbyt mało uwagi poświęcono temu problemowi.

Istnieje kilka rodzajów zagrożeń dla handlu elektronicznego:

Penetracja do systemu z zewnątrz.

Nieautoryzowany dostęp w firmie.

Celowe przechwytywanie i odczytywanie informacji.

Celowe zakłócenia danych lub sieci.

Nieprawidłowa (w celach oszukańczych) identyfikacja użytkownika.

Hakerska ochrona sprzętu i oprogramowania.

Nieautoryzowany dostęp użytkownika z jednej sieci do drugiej.

Ataki wirusów.

Odmowa usługi.

Oszustwo finansowe.

Aby przeciwdziałać tym zagrożeniom, stosuje się szereg metod opartych na różnych technologiach, a mianowicie: szyfrowanie – szyfrowanie danych uniemożliwiające ich odczytanie lub zniekształcenie; podpisy cyfrowe weryfikujące tożsamość nadawcy i odbiorcy; technologie stealth wykorzystujące klucze elektroniczne; zapory sieciowe; sieci wirtualne i prywatne.

Żadna metoda ochrony nie jest uniwersalna; na przykład zapory ogniowe nie sprawdzają obecności wirusów i nie są w stanie zapewnić integralności danych. Nie ma absolutnie niezawodnego sposobu na przeciwdziałanie włamaniom do automatycznej ochrony, a złamanie zabezpieczeń jest tylko kwestią czasu. Jednak czas potrzebny na przełamanie takiej ochrony zależy z kolei od jej jakości. Trzeba przyznać, że oprogramowanie i sprzęt do ochrony połączeń i aplikacji w Internecie rozwijają się już od dawna, chociaż nowe technologie wprowadzane są dość nierównomiernie.

Jakie zagrożenia czekają na firmę prowadzącą e-commerce na każdym etapie:

Podstawienie strony internetowej serwera sklepu elektronicznego (przekierowanie żądań na inny serwer), udostępnienie osobom trzecim informacji o Kliencie, w szczególności o jego kartach kredytowych;

Tworzenie fałszywych zamówień i różne formy oszustw ze strony pracowników sklepu elektronicznego, na przykład manipulacje bazami danych (statystyki pokazują, że ponad połowa incydentów komputerowych ma związek z działaniami własnych pracowników);

Przechwytywanie danych przesyłanych za pośrednictwem sieci handlu elektronicznego;

Penetracja atakujących do wewnętrznej sieci firmy i włamanie do komponentów sklepu elektronicznego;

Realizacja ataków typu „odmowa usługi” i zakłócenie funkcjonowania lub wyłączenie węzła e-commerce.

W wyniku realizacji takich zagrożeń firma traci zaufanie klientów, traci pieniądze z potencjalnych i/lub niedoskonałych transakcji, działalność sklepu elektronicznego zostaje zakłócona i poświęca czas, pieniądze i zasoby ludzkie na przywrócenie funkcjonowania.

Oczywiście zagrożenia związane z przechwytywaniem informacji przesyłanych za pośrednictwem Internetu nie ograniczają się tylko do branży e-commerce. Szczególne znaczenie w odniesieniu do tego ostatniego ma fakt, że w jego systemach znajdują się informacje o dużym znaczeniu gospodarczym: numery kart kredytowych, numery kont, treść umów itp.

1. Zabezpieczanie handlu elektronicznego

Zapewnienie bezpieczeństwa jest nie tylko warunkiem koniecznym udanego biznesu elektronicznego, ale także podstawą relacji opartych na zaufaniu pomiędzy kontrahentami. Istotą e-biznesu jest aktywna wymiana informacji i dokonywanie transakcji poprzez niezabezpieczoną sieć publiczną, co jest po prostu niemożliwe bez opartych na zaufaniu relacji pomiędzy podmiotami gospodarczymi. Dlatego zapewnienie bezpieczeństwa jest złożone i obejmuje zadania takie jak dostęp do serwerów WWW i aplikacji internetowych, uwierzytelnianie i autoryzacja użytkowników, zapewnienie integralności i poufności danych, wdrażanie elektronicznych podpisów cyfrowych itp.

Wraz z postępującą komercjalizacją Internetu coraz większą uwagę zwraca się na ochronę informacji przesyłanych siecią. Specjalistyczne protokoły przeznaczone do organizacji bezpiecznej interakcji za pośrednictwem Internetu (np. SET, SOCKS5, SSL, SHTTP itp.) zyskały szerokie uznanie na całym świecie i są z powodzeniem wykorzystywane przez zagranicznych programistów do tworzenia elektronicznych systemów bankowości i handlu opartych na Internecie.

Za granicą problemem bezpieczeństwa informacji e-biznesu zajmuje się niezależne konsorcjum - Internet Security Task Force (ISTF) - organizacja publiczna składająca się z przedstawicieli i ekspertów firm dostarczających narzędzia bezpieczeństwa informacji, e-biznesu i serwisu internetowego dostawcy.

ISTF identyfikuje dwanaście obszarów bezpieczeństwa informacji, na których należy skupić szczególną uwagę. organizatorzy e-biznesu:

Mechanizm obiektywnego potwierdzania informacji identyfikujących;

Prawo do informacji osobistych i prywatnych;

Definicja zdarzeń związanych z bezpieczeństwem;

Ochrona obwodu korporacyjnego;

Definicja ataków;

Kontrola potencjalnie niebezpiecznych treści;

Kontrola dostępu;

Administracja;

Reakcja na wydarzenia.

Wiadomo, że zastosowanie algorytmów elektronicznego podpisu cyfrowego (EDS) pozwala na niezawodną ochronę przed wieloma zagrożeniami, ale jest to prawdą tylko wtedy, gdy algorytmy te zostaną wplecione w ugruntowane protokoły interakcji, prawnie poprawną strukturę relacji i logicznie zamknięty system zaufania.

Bezpieczeństwo informacji opiera się na prostej logice procesów obliczania podpisu cyfrowego i weryfikacji go za pomocą pary odpowiednich kluczy, jednak logika ta opiera się na podstawowych badaniach matematycznych. Podpis cyfrowy może obliczyć tylko właściciel klucza prywatnego, a każdy, kto posiada klucz publiczny odpowiadający kluczowi prywatnemu, może go zweryfikować.

Oczywiście w zapewnienie bezpieczeństwa informacji powinni być zaangażowani specjaliści w tej dziedzinie, jednak szefowie organów rządowych, przedsiębiorstw i instytucji, niezależnie od formy własności, którzy odpowiadają za bezpieczeństwo ekonomiczne określonych podmiotów gospodarczych, muszą stale dbać o te kwestie ich pole widzenia. Dla nich poniżej znajdują się główne elementy funkcjonalne organizacji kompleksowego systemu bezpieczeństwa informacji:

Protokoły komunikacyjne;

Narzędzia kryptograficzne;

Narzędzia kontroli dostępu dla stacji roboczych z sieci publicznych;

Kompleksy antywirusowe;

Programy do wykrywania ataków i audytu;

Narzędzia do scentralizowanego zarządzania kontrolą dostępu użytkowników, a także bezpieczną wymianą pakietów danych i komunikatów dowolnych aplikacji w sieciach otwartych.

W Internecie od dawna działa wiele komitetów, głównie organizacji wolontariackich, które starannie przeprowadzają proponowane technologie przez proces normalizacji. Komitety te, które stanowią większość Grupy Zadaniowej ds. Inżynierii Internetu (IETF), ujednoliciły kilka ważnych protokołów, przyspieszając ich przyjęcie w Internecie.

Protokoły takie jak rodzina TCP/IP do transmisji danych, SMTP (Simple Mail Transport Protocol) i POP (Post Office Protocol) do poczty elektronicznej oraz SNMP (Simple Network Management Protocol) do zarządzania siecią są bezpośrednimi wynikami wysiłków IETF. Rodzaj zastosowanego produktu zabezpieczającego zależy od potrzeb firmy.

W Internecie popularne są protokoły bezpiecznej transmisji danych, a mianowicie SSL, SET, IP v.6. Wymienione protokoły pojawiły się w Internecie stosunkowo niedawno, jako konieczność ochrony cennych informacji i od razu stały się de facto standardami.

Niestety w Rosji nadal bardzo ostrożnie podchodzi się do możliwości wprowadzenia Internetu do tych obszarów działalności, z którymi się to wiąże

przekazywanie, przetwarzanie i przechowywanie informacji poufnych. Podobny

Ostrożność tę tłumaczy się nie tylko konserwatyzmem krajowych struktur finansowych, które obawiają się otwartości i dostępności Internetu, ale po części faktem, że większość oprogramowania zabezpieczającego informacje zachodnich firm produkcyjnych wchodzi na nasz rynek z ograniczeniami eksportowymi dotyczącymi zaimplementowane w nich algorytmy kryptograficzne. Przykładowo w wersjach eksportowych oprogramowania dla serwerów WWW i przeglądarek WWW takich producentów jak Microsoft i Netscape Communications występują ograniczenia dotyczące długości klucza dla algorytmów szyfrowania jedno- i dwukluczowego stosowanych przez protokół SSL, co nie zapewnia pełnego ochrona podczas pracy w Internecie.

Jednak aplikacje e-commerce, oprócz zagrożeń wewnętrznych, są również podatne na zagrożenia zewnętrzne pochodzące z Internetu. A ponieważ przypisywanie każdemu anonimowemu odwiedzającemu osobnego identyfikatora logowania jest irracjonalne (ponieważ aplikacja się nie rozwija), firmy muszą stosować inny rodzaj uwierzytelniania. Ponadto konieczne jest przygotowanie serwerów do odparcia ataków. Na koniec należy zachować szczególną ostrożność w przypadku wrażliwych danych, takich jak numery kart kredytowych.

Szyfrowanie danych

Witryna firmowa przetwarza poufne informacje (takie jak numery kart kredytowych konsumentów). Przesyłanie takich informacji przez Internet bez jakiejkolwiek ochrony może prowadzić do nieodwracalnych konsekwencji. Każdy może podsłuchać transmisję i tym samym uzyskać dostęp do poufnych informacji. Dlatego dane muszą być szyfrowane i przesyłane bezpiecznym kanałem. Aby wdrożyć bezpieczny transfer danych, używany jest protokół Secure Sockets Layer (SSL).

Aby wdrożyć tę funkcjonalność, musisz kupić certyfikat cyfrowy i zainstalować go na swoich serwerach. Możesz ubiegać się o certyfikat cyfrowy w jednej z jednostek certyfikujących. Do znanych komercyjnych organizacji certyfikujących należą: VerySign, CyberTrust, GTE.

SSL to schemat protokołów takich jak HTTP (nazywany HTTPS, gdy jest bezpieczny), FTP i NNTP. W przypadku korzystania z protokołu SSL do przesyłania danych:

Dane są szyfrowane;

Ustanowiono bezpieczne połączenie między serwerem źródłowym a serwerem docelowym;

Uwierzytelnianie serwera jest włączone.

Gdy użytkownik podaje numer karty kredytowej za pomocą protokołu SSL, dane są natychmiast szyfrowane, aby haker nie mógł zobaczyć ich zawartości. SSL jest niezależny od protokołu sieciowego.

Oprogramowanie serwera Netscape zapewnia także uwierzytelnianie — certyfikaty i podpisy cyfrowe — poświadczające tożsamość użytkownika i integralność wiadomości oraz gwarantujące, że wiadomość nie zmieniła swojej trasy.

Uwierzytelnianie polega na potwierdzeniu tożsamości użytkownika oraz podpisie cyfrowym w celu sprawdzenia autentyczności dokumentów związanych z wymianą informacji i transakcjami finansowymi. Podpis cyfrowy to dane, które można dołączyć do dokumentu, aby zapobiec fałszerstwu.

Wykrywanie włamań

Systemy wykrywania włamań (IDS) mogą identyfikować wzorce lub ślady ataków i generować alarmy

ostrzegaj operatorów i zachęcaj routery do kończenia połączeń ze źródłami nielegalnych włamań. Systemy te mogą również zapobiegać próbom spowodowania odmowy usługi.

Opis pracy

Celem pracy jest zbadanie koncepcji handlu elektronicznego i rozważenie zagadnień bezpieczeństwa informacji w handlu elektronicznym.
Zadania:
- zdefiniować handel elektroniczny;
- rozważyć jego główne elementy, typy, pozytywne i negatywne aspekty;
- rozważyć główne rodzaje zagrożeń i główne sposoby zapewnienia bezpieczeństwa handlu elektronicznego.

Bezpieczeństwo informacji w handlu elektronicznym (WE)

Liczba użytkowników Internetu sięgnęła kilkuset milionów i pojawiła się nowa jakość w postaci „gospodarki wirtualnej”. W nim zakupów dokonuje się za pośrednictwem serwisów zakupowych, korzystając z nowych modeli biznesowych, własnej strategii marketingowej itp.

Handel elektroniczny (EC) to działalność gospodarcza polegająca na sprzedaży towarów za pośrednictwem Internetu. Z reguły istnieją dwie formy WE:

* handel pomiędzy przedsiębiorstwami (business to business, B2B);

* handel pomiędzy przedsiębiorstwami i osobami fizycznymi, tj. konsumenci (business to Consumer, B2C).

WE dała początek takim nowym koncepcjom jak:

* Sklep elektroniczny - witryny wystawowe i systemy handlowe stosowane przez producentów lub sprzedawców, gdy istnieje zapotrzebowanie na towary.

* Katalog elektroniczny – z dużym asortymentem produktów różnych producentów.

*Aukcja elektroniczna jest analogią klasycznej aukcji wykorzystującej technologie internetowe, z charakterystycznym połączeniem z interfejsem multimedialnym, kanałem dostępu do Internetu i prezentacją cech produktu.

* Elektroniczny dom towarowy to odpowiednik zwykłego domu towarowego, w którym zwykłe firmy wystawiają swoje towary, z efektowną marką produktu (Gostiny Dvor, GUM itp.).

* Społeczności wirtualne (społeczności), w których kupujący organizują się według grup interesów (fankluby, stowarzyszenia itp.).

Internet w zakresie EC niesie ze sobą znaczne korzyści:

*oszczędności dla dużych prywatnych firm wynikające z przenoszenia zakupów surowców i komponentów na giełdy internetowe sięgają 25 - 30%;

* udział w aukcji konkurencyjnych dostawców z całego świata w czasie rzeczywistym prowadzi do obniżenia zaprogramowanych przez nich cen na dostawę towarów lub usług;

* podwyższenie cen towarów lub usług na skutek konkurencji ze strony nabywców z całego świata;

*oszczędności poprzez zmniejszenie liczby potrzebnych pracowników i ilości dokumentów.

Dominującą pozycją w KE w krajach zachodnich stał się sektor B2B, który do 2007 roku według różnych szacunków osiągnie od 3 do 6 bilionów. dolarów. Jako pierwsze na przeniesieniu swojej działalności do Internetu skorzystały firmy sprzedające sprzęt i oprogramowanie oraz świadczące usługi komputerowe i telekomunikacyjne.

Każdy sklep internetowy zawiera dwa główne składniki:

elektroniczna witryna sklepowa i system handlowy.

Elektroniczna witryna sklepowa zawiera informacje o towarach sprzedawanych w serwisie WWW, umożliwia dostęp do bazy danych sklepu, rejestruje klientów, współpracuje z elektronicznym „koszykiem” kupującego, składa zamówienia, zbiera informacje marketingowe i przekazuje je do systemu handlowego.

System handlowy dostarcza towar i dokonuje za niego płatności. System handlowy to zbiór sklepów należących do różnych firm, które wynajmują miejsce na serwerze internetowym należącym do odrębnej firmy.

Technologia obsługi sklepu internetowego następująco:

Kupujący wybiera żądany produkt na elektronicznej witrynie sklepu z katalogiem towarów i cen (strona internetowa) oraz wypełnia formularz z danymi osobowymi (imię i nazwisko, adres pocztowy i e-mail, preferowany sposób dostawy i płatności). Jeśli płatność dokonywana jest przez Internet, szczególną uwagę zwraca się na bezpieczeństwo informacji.

Przekazanie gotowego towaru do systemu handlowego sklepu internetowego,

gdzie zamówienie jest realizowane. System transakcyjny działa ręcznie lub automatycznie. System ręczny działa zgodnie z zasadą Posyltorg, gdy nie można kupić i skonfigurować systemu zautomatyzowanego, z reguły gdy ilość towarów jest niewielka.

Dostawa i płatność za towar. Dostawa towaru do kupującego odbywa się

na jeden z możliwych sposobów:

* sklep kurierski na terenie miasta i okolic;

*specjalistyczna przesyłka kurierska (w tym z zagranicy);

* ulec poprawie;

*takie szczegółowe informacje przekazywane są za pośrednictwem sieci telekomunikacyjnych

produkt jako informacja.

Płatności za towar można dokonać w następujący sposób:

* wstępne lub w momencie odbioru towaru;

* gotówka u kuriera lub podczas wizyty w prawdziwym sklepie;

*przelewem pocztowym;

* Transakcja bankowa;

* Płatność gotówką przy odbiorze;

* korzystanie z kart kredytowych (VISA, MASTER CARD itp.);

poprzez elektroniczne systemy płatności poprzez indywidualne reklamy

banki (TELEBANK, ASSIST itp.).

W ostatnim czasie na świecie dość dynamicznie rozwija się handel elektroniczny, czyli handel za pośrednictwem Internetu. Naturalnie, ten proces

realizowanych przy bezpośrednim udziale instytucji finansowych. Ta metoda handlu staje się coraz bardziej popularna, przynajmniej tam, gdzie z nowego rynku elektronicznego może korzystać duża część przedsiębiorstw i społeczeństwa.

Działalność komercyjna w sieciach elektronicznych usuwa pewne ograniczenia fizyczne. Firmy podłączające swoje systemy komputerowe do

Internet, są w stanie zapewnić klientom wsparcie 24 godziny na dobę, bez świąt i weekendów. Zamówienia na produkty można przyjmować w dowolnym czasie i z dowolnego miejsca.

Jednak ta „moneta” ma swoją drugą stronę. Za granicą, gdzie e-commerce jest najbardziej rozwinięty, transakcje czy koszt towaru często ograniczają się do 300-400 dolarów. Wynika to z niewystarczającego rozwiązania problemów bezpieczeństwa informacji w sieciach komputerowych. Według Komitetu ONZ ds. Zapobiegania i Kontroli Przestępczości przestępczość komputerowa osiągnęła poziom jednego z problemów międzynarodowych. W Stanach Zjednoczonych ten rodzaj działalności przestępczej zajmuje trzecie miejsce pod względem rentowności po handlu bronią i narkotykami.

Wielkość światowych obrotów handlu elektronicznego za pośrednictwem Internetu w 2006 roku,

Według prognoz Forrester Tech. może ona wynosić od 1,8 do 2 bilionów. dolarów. Tak szeroki przedział prognozy determinowany jest problemem zapewnienia bezpieczeństwa ekonomicznego handlu elektronicznego. Jeśli poziom bezpieczeństwa utrzyma się na obecnym poziomie, globalne obroty w handlu elektronicznym mogą być jeszcze mniejsze. Wynika z tego, że czynnikiem ograniczającym rozwój e-biznesu jest niskie bezpieczeństwo systemu e-commerce.

Rozwiązanie problemu zapewnienia bezpieczeństwa ekonomicznego handlu elektronicznego wiąże się przede wszystkim z rozwiązaniem zagadnień ochrony stosowanych w nim technologii informatycznych, czyli zapewnienia bezpieczeństwa informacji.

Integracja procesów biznesowych ze środowiskiem internetowym prowadzi do zasadniczej zmiany sytuacji bezpieczeństwa. Stworzenie praw i obowiązków w oparciu o dokument elektroniczny wymaga kompleksowej ochrony przed całym spektrum zagrożeń, zarówno nadawcy dokumentu, jak i jego odbiorcy. Niestety menedżerowie przedsiębiorstw e-commerce zdają sobie sprawę z powagi zagrożeń informacyjnych i znaczenia zorganizowania ochrony swoich zasobów dopiero wtedy, gdy te ostatnie staną się przedmiotem ataków informacyjnych. Jak widać wszystkie wymienione przeszkody dotyczą obszaru bezpieczeństwa informacji.

Podstawowe wymagania dotyczące przeprowadzania transakcji handlowych obejmują poufność, integralność, uwierzytelnianie, autoryzację, gwarancje i tajemnicę.

Osiągając bezpieczeństwo informacji, należy zadbać o jej dostępność, poufność, integralność i znaczenie prawne podstawowy zadania . Każde zagrożenie należy rozważyć pod kątem tego, jak może wpłynąć na te cztery właściwości lub cechy bezpiecznych informacji.

Poufność oznacza, że ​​informacje zastrzeżone powinny być dostępne wyłącznie dla tych, dla których są przeznaczone. Pod uczciwość informacja rozumiana jest jako jej właściwość istnienia w niezniekształconej formie. Dostępność Informacje są określane na podstawie zdolności systemu do zapewnienia terminowego i niezakłóconego dostępu do informacji podmiotom posiadającym do tego odpowiednie uprawnienia. Znaczenie prawne informacja stała się istotna w ostatnim czasie wraz ze stworzeniem ram regulacyjnych dotyczących bezpieczeństwa informacji w naszym kraju.

Jeżeli pierwsze cztery wymagania można spełnić za pomocą środków technicznych, spełnienie dwóch ostatnich zależy zarówno od środków technicznych, jak i odpowiedzialności osób fizycznych i organizacji, a także od przestrzegania przepisów chroniących konsumentów przed możliwymi oszustwami ze strony sprzedawców.

W ramach zapewnienia kompleksowego bezpieczeństwa informacji należy przede wszystkim podkreślić klucz problemy z zakresu bezpieczeństwa elektronicznego biznes który zawiera:

ochrona informacji podczas ich przesyłania kanałami komunikacji; ochrona systemów komputerowych, baz danych i elektronicznego zarządzania dokumentami;

zapewnienie długotrwałego przechowywania informacji w formie elektronicznej; zapewnienie bezpieczeństwa transakcji, poufności informacji handlowych, uwierzytelniania, ochrony własności intelektualnej itp.

Istnieje kilka rodzajów zagrożeń dla handlu elektronicznego:

 Penetracja do systemu z zewnątrz.

 Nieautoryzowany dostęp w firmie.

 Celowe przechwytywanie i odczytywanie informacji.

 Celowe zakłócenia danych lub sieci.

 Nieprawidłowa (w celach oszukańczych) identyfikacja

użytkownik.

 Hakowanie zabezpieczeń oprogramowania i sprzętu.

 Nieautoryzowany dostęp użytkownika z jednej sieci do drugiej.

 Ataki wirusów.

 Odmowa usługi.

 Oszustwa finansowe.

Aby przeciwdziałać tym zagrożeniom, stosuje się szereg metod opartych na różnych technologiach, a mianowicie: szyfrowanie – szyfrowanie danych uniemożliwiające ich odczytanie lub zniekształcenie; podpisy cyfrowe weryfikujące tożsamość nadawcy i odbiorcy; technologie stealth wykorzystujące klucze elektroniczne; zapory sieciowe; sieci wirtualne i prywatne.

Żadna metoda ochrony nie jest uniwersalna; na przykład zapory ogniowe nie sprawdzają obecności wirusów i nie są w stanie zapewnić integralności danych. Nie ma absolutnie niezawodnego sposobu na przeciwdziałanie włamaniom do automatycznej ochrony, a złamanie zabezpieczeń jest tylko kwestią czasu. Jednak czas potrzebny na przełamanie takiej ochrony zależy z kolei od jej jakości. Trzeba przyznać, że oprogramowanie i sprzęt do ochrony połączeń i aplikacji w Internecie rozwijają się już od dawna, chociaż nowe technologie wprowadzane są dość nierównomiernie.

Który zagrożenia czyhają na firmę z branży e-commerce na każdym etapie :

 substytucja strony internetowej serwera sklepu elektronicznego (przekierowanie żądań na inny serwer), udostępnienie osobom trzecim informacji o kliencie, w szczególności o jego kartach kredytowych;

 tworzenie fałszywych zamówień i różne formy oszustw ze strony pracowników sklepu elektronicznego, np. manipulacje bazami danych (statystyki pokazują, że ponad połowa incydentów komputerowych ma związek z działalnością własnych pracowników);

 przechwytywanie danych przesyłanych w sieciach handlu elektronicznego;

 przedostanie się atakujących do wewnętrznej sieci firmy i skompromitowanie komponentów sklepu elektronicznego;